Un site WordPress encore servi en HTTP en 2026 est devenu un anachronisme aux conséquences mesurables. Les navigateurs Chrome, Firefox et Safari affichent un avertissement explicite « Non sécurisé » à côté de l’URL, ce qui suffit à faire fuir 60 à 80% des visiteurs avant même le premier scroll. Google déclasse systématiquement les pages HTTP dans ses résultats au profit des versions HTTPS équivalentes. Les paiements en ligne, les formulaires de contact et les espaces clients deviennent incompatibles avec les exigences réglementaires (RGPD, PCI-DSS). Le passage à HTTPS via un certificat SSL n’est plus une option mais un prérequis technique sans alternative. La bonne nouvelle : depuis l’émergence de Let’s Encrypt et des certificats gratuits intégrés chez la quasi-totalité des hébergeurs, le passage à HTTPS prend une heure et ne coûte plus rien. Chez Propuls’Lead, nous accompagnons régulièrement des sites client encore en HTTP vers HTTPS avec une méthode éprouvée qui préserve le référencement et évite les bugs classiques.
Comprendre le rôle réel du certificat SSL et du protocole HTTPS
Le certificat SSL (aujourd’hui techniquement TLS, mais l’appellation SSL reste majoritaire) remplit deux fonctions distinctes souvent confondues. La première fonction est le chiffrement des échanges entre le navigateur du visiteur et le serveur du site. Sans HTTPS, toutes les données échangées (identifiants de connexion, formulaires de contact, paniers d’achat, mots de passe) transitent en clair et peuvent être lues par tout intermédiaire technique entre les deux : opérateur Wi-Fi public, fournisseur d’accès, équipement réseau de transit.
La seconde fonction est l’authentification du serveur. Le certificat SSL prouve au navigateur que le serveur qui répond à l’URL monsite.com est bien le serveur légitime du propriétaire du domaine, et non un serveur intermédiaire qui aurait intercepté la communication. Cette authentification est ce qui protège les visiteurs des attaques dites de l’homme du milieu, où un attaquant se positionne entre le visiteur et le site pour intercepter ou modifier les échanges.
Le protocole HTTPS combine ces deux fonctions dans le standard moderne. Il ouvre un canal chiffré authentifié avant tout échange réel. La pénalisation SEO du HTTP par Google est documentée depuis 2014. Notre article sur WordPress et la gestion des rôles utilisateurs revient sur la protection des comptes administrateurs qui repose en partie sur un canal HTTPS sain.
Choisir le type de certificat adapté à son site
Trois types de certificats SSL existent et le choix dépend de la taille et de la nature du site. Le certificat DV (Domain Validated) est le plus simple et désormais le plus courant. Il valide simplement que le demandeur contrôle bien le domaine via une vérification automatique. Let’s Encrypt, l’autorité de certification gratuite soutenue par la fondation Mozilla et la fondation Linux, fournit des certificats DV gratuits valables 90 jours et renouvelables automatiquement. Pour un site WordPress de PME, blog professionnel ou site vitrine, le certificat DV est suffisant.
Le certificat OV (Organization Validated) ajoute une vérification de l’identité juridique de l’entreprise et coûte 50 à 200 euros par an, recommandé pour les sites e-commerce de taille moyenne. Le certificat EV (Extended Validation) ajoute une vérification approfondie qui affichait historiquement le nom de l’entreprise en vert, mais depuis 2019 les navigateurs ont supprimé cette mise en avant visuelle, ce qui réduit fortement son intérêt pratique.
La quasi-totalité des hébergeurs WordPress (OVH, o2switch, Hostinger, SiteGround, Kinsta) proposent désormais l’installation d’un certificat Let’s Encrypt en un clic depuis le panneau d’administration, ce qui fait du DV gratuit la solution par défaut. Notre article sur WordPress et l’hébergement, passer du mutualisé au VPS revient sur le choix d’hébergement qui conditionne les options SSL disponibles.
Migrer WordPress de HTTP vers HTTPS sans casser le site
La migration d’un site WordPress existant de HTTP vers HTTPS suit cinq étapes ordonnées. Première étape : installer le certificat SSL via le panneau d’administration de l’hébergeur et vérifier que la version HTTPS est accessible. À ce stade, le site existe sur les deux protocoles en parallèle.
Deuxième étape : modifier les champs « Adresse Web WordPress » et « Adresse Web du site » dans Réglages > Général pour remplacer http:// par https://. Troisième étape : réécrire tous les liens internes en base de données encore en HTTP via Better Search Replace ou via une commande WP-CLI. Cette étape évite les avertissements « contenu mixte » qui se déclenchent dès qu’une page HTTPS appelle une ressource HTTP.
Quatrième étape : configurer une redirection 301 permanente du HTTP vers HTTPS au niveau du serveur, via une règle dans le .htaccess (Apache) ou dans la configuration Nginx. Cette redirection préserve le référencement et bascule les visiteurs arrivant via d’anciens liens. Cinquième étape : déclarer la nouvelle URL HTTPS dans la Search Console comme propriété distincte, et soumettre le nouveau sitemap. Notre article sur WordPress et les redirections 301 pour les changements d’URL sans perdre le référencement revient sur la mise en place propre des redirections.
Résoudre les bugs classiques après migration HTTPS
Trois bugs récurrents apparaissent après une migration HTTPS mal préparée. Le premier bug est l’avertissement « contenu mixte » affiché par le navigateur quand une page HTTPS charge des ressources HTTP. La cause fréquente est la persistance d’URLs HTTP dans les articles anciens (images, vidéos, scripts publicitaires). La résolution passe par un nouveau passage de Better Search Replace ciblé sur la table wp_posts et par la mise à jour des templates de thème qui codent en dur des URLs HTTP.
Le deuxième bug est la boucle de redirection infinie, qui apparaît quand la redirection 301 est mal configurée. Le symptôme est une erreur « ERR_TOO_MANY_REDIRECTS ». La cause habituelle est un reverse proxy (Cloudflare) qui termine le SSL en amont et transmet les requêtes en HTTP au serveur d’origine. La résolution passe par le paramètre HTTPS forcé côté Cloudflare et par la vérification du header X-Forwarded-Proto dans la règle de redirection serveur.
Le troisième bug concerne les images servies par des CDN externes encore en HTTP, résolu par la mise à jour de la configuration CDN ou par le rapatriement des images. Notre article sur WordPress et le CDN, configurer Cloudflare gratuitement pour un site rapide partout revient sur Cloudflare qui simplifie la gestion HTTPS globale.
Inscrire HTTPS dans la routine sécurité PROPULSE
Dans le cadre de la méthodologie PROPULSE que nous appliquons chez Propuls’Lead, le passage à HTTPS n’est jamais une opération isolée mais une étape intégrée au déploiement initial du site. Pour les sites client encore en HTTP que nous reprenons, la migration HTTPS figure parmi les trois premières actions menées dans le mois suivant le démarrage de l’accompagnement. La routine permanente comprend la vérification automatique du renouvellement Let’s Encrypt tous les 90 jours et l’alerte immédiate en cas d’échec de renouvellement, parce qu’un certificat expiré rend le site totalement inaccessible aux visiteurs avec un avertissement de sécurité bloquant.
La discipline SSL apporte trois bénéfices mesurables : confiance des visiteurs intacte sans avertissement de navigateur, référencement Google préservé grâce à la migration bien menée, et compatibilité avec toutes les évolutions modernes du web (HTTP/2, HTTP/3, Service Workers) qui exigent HTTPS pour fonctionner. Sur les sites que nous accompagnons, la migration bien préparée se déroule en deux à quatre heures sans interruption visible pour les visiteurs.
Ce qu’il faut retenir pour passer proprement en HTTPS
Le passage à HTTPS n’est plus une option mais un prérequis technique avec une mise en œuvre simple grâce aux certificats Let’s Encrypt gratuits. Cinq points clés à retenir : le certificat SSL chiffre les échanges et authentifie le serveur, deux fonctions indispensables à la confiance et à la conformité, le certificat DV de Let’s Encrypt suffit à la quasi-totalité des sites WordPress de PME, la migration suit cinq étapes ordonnées : installation, modification URL, remplacement des liens internes, redirection 301, déclaration Search Console, les trois bugs classiques (contenu mixte, boucle de redirection, ressources CDN) ont des résolutions documentées, l’inscription dans une routine permanente garantit le renouvellement automatique tous les 90 jours. Chez Propuls’Lead, nous traitons systématiquement HTTPS dans les premières actions d’un nouveau site client parce que c’est l’investissement sécurité au meilleur ratio coût/bénéfice : gratuit, rapide, et bloquant un volume considérable d’attaques et de perte de confiance visiteurs.